引入依赖
将登录检查拦截器删除掉
授权
首先显示路径
除了这些请求,其他的请求统统允许。
当权限不够处理的时候
返回XML是异步请求
添加denied的路径
获取用户权限的方法
将结果存入到集合中,实例化一个集合
获得用户权限,并把权限存放到Context中
注意在引入的时候引入正确包
在请求登录的开始判断,登录后,得到用户,并得到了权限后面授权就可以进行。
对保存权限进行清理
退出的时候对认证结果清理一下。
CSRF
浏览器访问过服务器,给浏览器发送了一个ticket,存到cookie。
这个时候浏览器先服务器发送请求,get请求,get请求是一个有表单的页面。这个请求希望返回一个带form的页面,返回后没有直接提交,而是访问另外一个网站,这个网站是一个带有病毒的网站,通过病毒窃取了用户的cookie,这个网站就可以模仿,伪造你的身份,帮你进行了一个提交,这是一个要求转账这个时候就不安全。
Security会在返回的时候携带一个隐藏的Tocken,防止CSRF攻击。
可以获取Ticket但是没有获取Tocken,就可以认为这个是伪造的。
异步请求
改为当Message不为空的时候在去实例化Map